Una massiccia violazione dei dati che coinvolge IDMerit, un'azienda californiana di verifica dell'identità, ha esposto oltre un miliardo di record personali appartenenti a cittadini di 26 paesi, secondo un'indagine pubblicata dal team di ricerca sulla sicurezza informatica di Cybernews. I ricercatori hanno scoperto un database MongoDB non protetto contenente circa un terabyte di dati sensibili di tipo KYC (Know Your Customer), lasciato accessibile su Internet senza alcuna protezione tramite password. È già considerata una delle più gravi violazioni della sicurezza informatica degli ultimi anni.
I record esposti comprendono nomi completi, date di nascita, numeri di identificazione nazionale, indirizzi fisici, codici postali, numeri di telefono, indirizzi e-mail, informazioni sul genere e annotazioni di profili sociali. Gli Stati Uniti risultano il paese più colpito con circa 203 milioni di record esposti, seguiti dal Messico con 124 milioni, dalle Filippine con 72 milioni, dalla Germania con 61 milioni, e dall'Italia e dalla Francia con 53 milioni di record ciascuno. Perciò anche i cittadini italiani sono tra i più esposti a livello mondiale. Anche cittadini di altri 20 paesi, tra cui Cina e Brasile, sono stati coinvolti nella violazione.
IDMerit fornisce servizi di verifica dell'identità e prevenzione delle frodi basati su API a banche, società fintech e altre organizzazioni obbligate per legge a verificare l'identità dei propri clienti attraverso procedure di conformità KYC. Gli esperti di sicurezza informatica hanno descritto la natura strutturata dei dati esposti come una miniera d'oro per i criminali, sottolineando che la combinazione di numeri di identificazione nazionale, date di nascita e profili personali completi crea condizioni ideali per il furto di identità, le frodi creditizie, gli attacchi di SIM swapping e le campagne di phishing sofisticate. La realtà è che queste informazioni, una volta esposte, non possono più essere considerate sicure.
Il team di ricerca di Cybernews ha scoperto il database non protetto l'11 novembre 2025 e ha immediatamente avvisato IDMerit. L'azienda ha messo in sicurezza l'istanza esposta il giorno successivo, il 12 novembre. Però non è chiaro per quanto tempo il database sia rimasto pubblicamente accessibile prima della scoperta, sollevando così serie preoccupazioni sulla possibilità che attori malevoli abbiano già avuto accesso ai dati e li abbiano copiati. IDMerit non ha divulgato pubblicamente informazioni dettagliate sull'incidente né chiarito se le persone coinvolte e le autorità di regolamentazione siano state formalmente notificate.
La violazione ha riacceso il dibattito sulle pratiche di sicurezza dei fornitori KYC, che sono ormai diventati infrastrutture critiche del sistema finanziario globale. I governi e le autorità di regolamentazione in tutto il mondo richiedono alle banche, alle piattaforme di criptovalute e ai servizi digitali di verificare l'identità dei propri utenti, convogliando così enormi quantità di dati personali sensibili verso società di verifica esterne. I critici sostengono che questi fornitori non sono soggetti a una supervisione normativa sufficiente né a verifiche di sicurezza obbligatorie. La possibilità che i dati siano già stati sfruttati da criminali informatici è molto concreta e preoccupante.
Gli analisti di sicurezza informatica hanno avvertito che le conseguenze di questa violazione potrebbero manifestarsi per anni, poiché i dati di identità rubati mantengono il loro valore ben oltre l'esposizione iniziale. I numeri di identificazione nazionale e le date di nascita non possono essere modificati come le password, il che significa che le persone coinvolte affrontano un rischio prolungato di frode identitaria. È perciò fondamentale che chiunque abbia utilizzato servizi verificati tramite IDMerit sorvegli attentamente i propri conti finanziari, attivi l'autenticazione a due fattori ovunque sia possibile e resti vigile contro i tentativi di phishing mirati che potrebbero sfruttare le informazioni personali già trapelate.
Commenti